首先,对于这个问题的格式感到抱歉。我知道这个网站的规则,但我没有以前的工作或调查,因为,基本上,我不知道从哪里开始......
我对开始的小费很满意。
我正在搜索如何限制从(仅) native 移动应用程序(ios 和 android)调用 expressjs 中对 api rest 的调用。我在考虑 token ,但我认为这不是一个非常安全的想法,因为任何人都可以拿 token 并模拟成为移动应用程序,或者我错了?
提前致谢!
最佳答案
您不能限制仅从 native 移动应用程序访问 REST api。互联网对任何客户端的访问都是开放的,因此如果您有 REST 服务器,那么任何客户端都可以访问它,无论是否移动。
您可以通过身份验证控制访问。因此,通常人们会做的是要求某种帐户访问权限,然后让您的服务器监视意外或未经授权的使用,如果发现,您将禁用该帐户。
您也可以在您的移动应用程序中嵌入“ secret ”凭据,并将其用作通过 SSL 的授权,但坚定的黑客仍然可以根据需要从您的应用程序中获取凭据。
关于javascript - 如何限制对api rest的调用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45899213/